» Настройка Cisco PIX Firewall / ASA

Помогайте давно упустил эту тему, есть pix515, установлено

Cisco PIX Security Appliance Software Version 7.1(1)
Device Manager Version 5.1(1)

Compiled on Thu 19-Jan-06 15:02 by builders
System image file is "flash:/pix711.bin"
Config file at boot was "startup-config"

FW up 34 days 1 hour

Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz

Какая последняя версия для этого оборудования и стоит или нет устанавливать?

Vic
для 64 RAM последняя 7.2(4), но, помню, на 515 без проблем воткнул 256 mb от обычного компьютера и на нем прекрасно поехал 8.0(4)-32. Там архитектура PC, можно даже флоппик подключить.

slut
память туда лезет, но к сожалению тогда крышку незакрыть, я пока эту нашел (изначально было 32), замучился искать, за ответ спасибо

slut

Чего-то в варезнике нет этой 7.2(4), что она такая кривая или чего?

Vic
Подозреваю она очень старая
Посмотреть софт можно
тут

Sterh84

Цитата:

Подозреваю она очень старая
Посмотреть софт можно
тут

Конечно там смотрел, ее то и ненашел, хотя там намного старее присутствуют версии

Vic
да просто никто не просил, вот и не выкладывали.

ну тут вы точно обрящите искомое

Цитата:

Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz

Какая последняя версия для этого оборудования и стоит или нет устанавливать?

У меня 515Е
вначале сменил 32 на 64М
8.0(4) пошла без проблем, затем добавил старые 32, итого 96, работает без проблем.
Покупал 128 тоже не влезала, сходил, заменил на меньшую по размерам, оказалась паленая, но по размерам влезает.

Только где-то читал, что моя лицензия позволяет работать только 64М

Но прежде чем ставить 8-ю почитайте описание на нее, команды от 7-й сильно отличаются

Доброе время суток,
У меня стоит Cisco ASA5510
Кроме всего прочего настроен VPN Site-to-Site Между Cisco и Netgear 318.
Вот с этим туннелем и проблема.
Он поднимается только если из сети со сторони Cisco кто-то пингует удаленную сеть.
А а потом через определенный промежуток времени отваливается по Time Out.
По этому, pleeeaaasse, если кто знает подскажите две вещи
Как настраивать Idle Time Out на Cisco для VPN и почему второй роутер не может устанавливать соединение.
Для второго роутера на Cisco все открыто, конфигурацию обоих могу виложить.
Пока вышел из положения, тем что пингую удаленную сеть через определений интервал. Но это же не выход.
Игра с Keep Alive ничего не дала.

yarasha, вообще ложить туннель это нормально . Те пока нет траффика АСА на будет поднимать туннель , а поднимет его когда пойдет траффик который должен быть зашифрован. По поводу жизни туннеля, должно решиться кипэлайвами. А вот время через которое он ложит туннель group-policy <namr> attributes , vpn-idle-timeout 60. Попробуйте, вроде должно заработать

yarasha, всё что сказал Sterh84
кроме того на NetGear:
VPN --> Policies --> IKE Policies --> Edit --> IKE SA Parameters


VPN --> Policies --> VPN Policies --> Edit --> General

(Firmware Version (Primary):     3.0.4-19)

у меня правда FVX 538. тунели поднимаются с любой стороны. так же было и на 338.
318 вообще древность - уже не используем.

Sterh84

Спасибо за ответ болшое!! Это меня здорово выручило. Я знаю, что ложить туннель это нормально. А учитивая то, что канал не самий быстрий, то было бы просто чудесно. Но вся проблема имено в том, что он не поднимается автоматом со сторони Netgear. По этому единственним выходом видется только 24 часа UP.

slech


Цитата:

VPN --> Policies --> IKE Policies --> Edit --> IKE SA Parameters

К сожалению у этой модели Netgear этого нет. У нових есть. У нових есть возможность туннель программно поднять или положить Connect/Drop, тут только кнопка Drop.


Цитата:

у меня правда FVX 538. тунели поднимаются с любой стороны. так же было и на 338.

У меня уже на Netgear 328 это все было, а тут нет. Я попробую обновить на этом старье Firmware, может быть это поможет.

Доброго времени суток! Помогите советом. Появилась необходимость в фильтровании входящего трафика пользователей, необходимо ограничить пользователей в просмотре видео, прослушивании музыки он-лайн, скачивании различного контента не относящегося к работе.
Вопрос: можно ли все это реализовать с помощью CISCO ASA 5510? Если да то в каком направлении копать, если есть возможность предложите конфиг для ограничения всего этого для отдельно взятого ип. На циске так же настроено IPSec VPN с удаленным филиалом...

Буду рад любым советам. Спасибо!

stalker1980

Да есть. Но я выбрал достаточно дорогое решение. В принципе я пока не могу его полностью рекомендовать,так как не смог до конца корректно настроить. Речь идет о SSM CSC 10 Module для Cisco ASA 5510. Данный модуль именно предназначен для фильтрации HTTP, FTP, SMTP, POP3 трафика. HTTP траффик он фильтрует очень бодро, также фильтрует сайты по контенту. я узнал много любителей в офисе посещать не совсем те сайты, имеет наглядный графический интерфейс и пишет читаемый лог.
Есть возможность резать файлы по разширению. Например mp3.wav etc.
http://www.cisco.com/en/US/docs/security/csc/csc61/administration/guide/csc6.html#wp1041908

что мне лично не нравится, но это скорее мои руки
1.Падает данный модуль под более менее серьезной нагрузкой.
2. Очень сильно тормозит прохождение пакетов. То есть интернет становится серьезно медленней.

посему я HTTP фильтр выключил для офиса и оставил данный модуль работать только, как SPAM фильтр (SMTP).

Кто -нить использует asa5505?
Интересует возможность подключения на него 2х провайдеров.
Я позвонил в тех поддержку, там вразумительного ответа не дали, сказали берите 5510 и всё будет)) Но разница в цене у них огромна)

demmNET
в общем-то какие могут быть проблемы? Только не надо забывать, что всё-таки это не роутер.

Если не туда запостил или нарушил правила, прошу удалить. Есть статейка, которая может помощь начинающим в настройке пикса.


Наша задача настроить Cisco PIX 515 для типовых задач небольшой офисной сети. В примере будут использоваться следующие настройки: локальная сеть 192.168.1.0 с маской 255.255.255.0, интернет соединение с выделенной подсетью на 8 внешних адресов 200.100.50.56 с маской 255.255.255.248, демилитаризированная зона 172.18.9.1 с маской 255.255.255.0. Демилитаризированная зона это отдельная сеть не связанная с локальной и используемая для публикации внешних ресурсов в интернете, например для www сервера.Так же в нашем примере будет дополнительная сеть связанная с нашей локальной сетью через маршрутизатор.

http://sysadminblog.ru/blog/cisco/12.html

demmNET

Очень даже интересный вопрос!!!! Я могу на него ответить, жалко, что только сейчас его увидел.
А ответить я могу на него по тому, что к сожалению сам наступил на эти грабли и мне пришлось жестко обломаться.
У меня как раз 5510. Так вот, не смотря на то, что сказали в техподдержке я смею утверждать, что 5510 НЕ МОЖЕТ ПОЛНОЦЕННО РАБОТАТЬ КАК РОУТЕР.
-5510 не поддержует нормально динамическую маршрутизацию. Поддержка протоколов OSPF, EIGRP очень ограниченна. BGP нет и в помине.
- Балансировка нагрузки (load balancing) отсутствует, точнее реализован только для VPN.
Из всех функций присущих роутерам реализованно только High Availability. То есть при падении одного линка, будет переписан default gate на резервный канал.

У меня 2 провайдера. Так вот нормально даже статически нельзя прописать маршруты. 5505 впрочем, как 5510 НЕ РОУТЕРЫ и не стоит ожидать от них полноценной маршрутизации в серьезном обьеме. Это не их задачи. Разве, что второй линк использовать,как резервный. Впрочем, это же написано на cisco.com.

yarasha

Цитата:

У меня 2 провайдера. Так вот нормально даже статически нельзя прописать маршруты.

что именно не получилось?

Добрый вечер!
Помогите, пожалуйста...сразу же прошу прощения, если мысли не особо связаны.. копаю несколько дней, а результат нулевой...
имеется pix515e, необходимо ограничить доступ в Интернет некоторым пользователям из внутренней сети (пользователи находятся в домене). Слышал, что это можно сделать с помощью RADIUS сервера...но пока не нашел инфы. Как можно сделать так, чтобы пользователи заходя под своей учеткой получали (или не получали) доступ к Инету... вообщем, чтобы RADIUS сервер брал данные для аутентификации и авторизации из Active Directory


Помгите, пожалуйста, или хотя бы посоветуйте куда копать... заранее искренне благодаорен.

Лучше воспользоваться Cisco Secure Access Control Server (Cisco ACS).
Он поддерживает не только RADIUS, но и TACACS+, что ещё лучше, т.к. TACACS+ мощнее (более функционален) и безопаснее - шифрует весь трафик, использует транспорт TCP (т.е. надёжен). RADIUS шифрует только заголовки пакетов - транспорт UDP. Правда есть один минус: TACACS+ это проприетарный продукт Cisco Systems и работает только с оборудованием Cisco (но у Вас-то как раз этот случай). Кроме того, как TACACS+, так и RADIUS в составе Cisco ACS, могут использовать внешние базы данных пользователей для аутентификации и авторизации - в том числе и Active Directory майкрософтовского контроллера домена.
ВОТ В ЭТУ СТОРОНУ И РОЙТЕ!!!

_http://www.cisco.com/en/US/partner/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.2/roadmap/DGuide42.html

_http://www.cisco.com/en/US/partner/docs/net_mgmt/cisco_secure_access_control_server_express/5.0/release/notes/xpnote.html

_http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_express/5.0/release/notes/xpnote.pdf

НА РУССКОМ: _http://tools.cisco.com/search/JSP/search-results.get?isFormSubmit=true&strqueryid=&country=RU&language=ru&websessionid=&strCurrentSimilarSearchBreadCrumb=&strCurrentSelectedModifierValues=&strQueryText=Cisco+ACS

P.S. Возможно, придётся зарегистрироваться на сайте www.cisco.com, но это минутное дело.
Удачи!

Вопрос по IPSec VPN'у:
Возможно ли создать IPSec туннель у которого на одном конце выход в интернет(т.е не фиксирован диапазон адресов), а на другом конце Cisco ASA или Cisco 2800)?

str1k3r
Если Вы имеете в виду схему когда один пир имеет статический ИП а другой динамический то да

Помогите с мудрым советом.
Я соединил основной офис с дополнительным офисом способом на основе примера: VPN/IPsec with OSPF Configuration Example. Мне надо чтобы была именно динамическая маршрутизация между областями офисов. Все замечательно работало. Теперь необходимо подключить к основному офису второй дополнительный офис. Но нет возможности использовать на Cisco ASA основного офиса две команды neighbor одновременно, например так:

router ospf 100
network сеть1 маска1 area 0
network сеть2 маска2 area 0
network сеть3 маска3 area 0
neighbor ip_адрес_допофиса1 interface outside
neighbor ip_адрес_допофиса2 interface outside - (neighbor может быть только один на одном интерфейсе!)

Каким еще способом можно организовать динамическую маршрутизацию между областями основного и дополнительных офисов сквозь VPN? Покажите лучше всего на живых примерах.

Пробовал использовать VirtualLink, но ничего не получилось. Использует ли кто-нибудь у себя VirtualLink? Подскажите как правильно этой виртуальной связью воспользоваться? Может ли она работать через VPN?

кто чем NetFlow снимает с Cisco ASA ? у меня Cisco ASA 5505/5510 - 8.02.

slut, встречал твои реплики про NetFlow Analyzer
мне нужен съём максимум за неделю что бы была возможностьт разбираться с возникакющими проблемами.
если закачки вдруг пошли и вирусяка завёлся.

спасибо.

ASA5505 в режиме NEM коннектится к ASA5540

interface Vlan1
nameif inside
security-level 100
ip address 10.11.17.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.11.16.1 255.255.255.0

В стадарной конфигурации все работает

По скольку ASA5505 в такой конфигурации пропускает весь трафик на ASA5540 который идет мимо спиттунеленинга
Я хочу поменять security-level на интерфейсах
interface Vlan1
security-level 0

interface Vlan2
security-level 100

И получаю отлуп ASA5505 как VPNClient перестает к 5540 коннектится
выдавая гору ошибок

%ASA-6-110003: Routing failed to locate next hop for udp from NP Identity Ifc:10.11.17.1/62465 to inside:10.11.15.195/62465
%ASA-4-713157: IP = 10.11.15.195, Timed out on initial contact to server [ XXX Deleted ] Tunnel could not be established.


Можно ли это как-то обойти ?


Добавлено:
Забыл добавить на 5505

show crypto isakmp sa

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 10.11.15.195
Type : user Role : initiator
Rekey : no State : AM_WAIT_MSG2


А на 5540 в логах пусто и команды типа show crypto тоже показывают пусто

at200859
я бы не сказал, что это удачный дизайн сети.
Если хочется, чтобы бегали динамические протоколы маршрутизации по ipsec
то можно попробовать запустить для второго офиса еще один процесс ospf или же использовать другой протокол маршрутизации (rip или eigrp), а потом поиграться с редистрибуцией и все будет ок =)

Добавлено:
Elric72
а можете конфиг привести подробнее какой был, какой сейчас и что хочется?
не совсем понял зачем менять security-level-ы на противоположные....
>>По скольку ASA5505 в такой конфигурации пропускает весь трафик на ASA5540 который идет мимо спиттунеленинга
так же не понял, как связь между security-level и функцией split-tunnel?

interface Vlan1
nameif inside
security-level 100
ip address 10.11.17.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.11.16.1 255.255.255.0

!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!


global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
route outside 10.11.0.0 255.255.0.0 10.11.16.5
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL

crypto ipsec security-association lifetime seconds 300
crypto ipsec security-association lifetime kilobytes 4608000
!

vpnclient server 10.11.15.195 10.11.15.195
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup asaclient password ********
vpnclient username asa01 password ********
vpnclient enable


Cеть 10.11.36.0 находящаяся в цетральном офисе требует шифрования ,соотвественно ее я включил в сплиттуннелиг
ASA5540 в центральном офисе работет в связке с Cisco Security Server ,с которого закругается DACL
permit icmp 10.11.17.0 255.255.255.0 10.11.36.0 255.255.255.0
permit tcp 10.11.17.0 255.255.255.0 host 10.11.36.36 eq 3000

Но при этом не шифрованный трафик на остальные сети спокойно прохит мимо ASA5505


В этой конфигурации я могу либо
1 повесить лист доступа на вход типа
access-list inside_access_in extended permit icmp 10.11.17.0 255.255.255.0 10.11.36.0 255.
255.255.0
access-list inside_access_in extended permit tcp 10.11.17.0 255.255.255.0 host 10.11.36.36 eq 3000
Но тогда каждое в случае измения листа доступа мне придется заходить на каждую 5505 и менять лист доступа там

2 Включить с спиттунелиг все сети ,но тогда надо пересматривать всю концепцию сетей моей организации

Отсюда возник третий вариат ,поменять security-level на интерфейсах с 0 на 100 и со 100 на 0 соответсвенно,чтобы трафик от удаленного офиса с центр по умолчаю был весь запрещен и разрешения были только из DACL
Но ASA5505 в такой конфигурации коннектится к ASA5540 коннектится отказывается (ошибки я привел)
Вот я и спрашию это сделано так специально и в такой конфигурации ASA5505 работать не будет или все-таки ASA5505 может коннектится к серверу с интефейсом с максимальным security-level после ввода скажем каких-то дополнительных команд

ESX091

Цитата:

Если хочется, чтобы бегали динамические протоколы маршрутизации по ipsec
то можно попробовать запустить для второго офиса еще один процесс ospf или же использовать другой протокол маршрутизации (rip или eigrp), а потом поиграться с редистрибуцией и все будет ок =)

Это проблему не решит. Во-первых, rip и eigrp не работают, насколько я понимаю, через VPN. Во-вторых, если появится третий и четвертый офисы, то их как подключать?
Мою задачу можно было бы решить подняв GRE-туннели, но к сожалению разработчики, по не понятным мне причинам, не заложили этот функционал в ASA.
Мои выводы:
1. Без полноценных роутеров CISCO нормальную Dynamic Multipoint VPN (DMVPN) не построить.
2. Cisco ASA Firewall это не роутер.